Настройка прав доступа к учетной записи на устройствах с Windows 10 или 11.

Поддерживаемые версии для этой функции: Frontline Starter, Frontline Standard и Frontline Plus; Business Plus; Enterprise Standard и Enterprise Plus; Education Standard, Education Plus и Endpoint Education Upgrade; Enterprise Essentials и Enterprise Essentials Plus; Cloud Identity Premium. Сравните свою версию .

Как администратор, вы можете изменить локальный уровень административных привилегий, которыми может обладать пользователь на своих устройствах Microsoft Windows 10 или 11. Например, вы можете разрешить ограниченный контроль или полный доступ. Этот уровень привилегий предоставляется учетной записи Windows, связанной с учетной записью Google пользователя, а не самой учетной записи Google пользователя.

Вы также можете предоставить административные привилегии другим существующим учетным записям Windows. Эти учетные записи могут быть локальными для устройства или пользователями и группами Microsoft Active Directory, даже если они еще не вошли в систему на устройстве.

Прежде чем начать

Для предоставления локальных административных привилегий устройство должно находиться в диспетчере устройств Windows.

Установить административные привилегии

Перед началом работы: Если вам необходимо создать отдел или команду для этих настроек, перейдите в раздел «Добавить организационное подразделение» .

Этот параметр помогает управлять локальным административным доступом пользователей Google Credential Provider for Windows (GCPW). Пользователь GCPW может быть как обычным пользователем, так и локальным администратором.

Для применения этих параметров привилегий система использует поставщик услуг конфигурации Microsoft LocalUsersAndGroups (CSP) во время синхронизации устройств. Когда в консоли администратора Google включена опция «Управление локальным административным доступом к устройствам» , CSP обрабатывает конфигурацию для предоставления локальных административных привилегий пользователям GCPW и существующим пользователям Active Directory, группам или локальным пользователям Windows, указанным в поле «Учетные записи с локальным административным доступом» .

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Мобильные устройства и конечные точки а потом Настройки а потом Windows .

    Для этого требуются права администратора служб и устройств .

  2. Нажмите «Настройки учетной записи» .
  3. (Необязательно) Чтобы применить настройку к отделу или команде, выберите организационное подразделение сбоку.
  4. В поле "Значение" выберите "Включено" .

  5. Настройте права доступа для пользователей GCPW:

    • Чтобы назначить пользователям стандартные учетные записи без административных привилегий, в поле « Тип учетной записи пользователя» выберите «Стандартный пользователь» .

    • Чтобы назначить пользователям локальные административные привилегии, в поле «Тип учетной записи пользователя» выберите «Локальный администратор» .

      Ограничение Windows: пользователи GCPW добавляются в группу администраторов после первого входа в систему и синхронизации их устройств. Однако настройки прав доступа к их учетной записи вступают в силу только после следующего входа в систему.

  6. (Необязательно) Чтобы предоставить локальные права администратора существующим пользователям Active Directory, группам Active Directory или локальным учетным записям пользователей Windows, добавьте их в поле « Учетные записи с локальным административным доступом» . Используйте следующие форматы, разделяя несколько значений запятыми:

    • Пользователи Active Directory : YourDomain\user (например, YourDomain \jsmith)
    • Группы Active Directory : YourDomain\group (например, YourDomain \jsmith, YourDomain \Win11admins)
    • Локальные пользователи : имя пользователя (например, lrayes, YourDomain \jsmith, rnguyen, YourDomain \Win11admins, hcampbell, bkwan)

    Если вы укажете имя учетной записи, которой не существует, новая учетная запись на устройстве не будет создана. Несуществующие учетные записи игнорируются, и обрабатываются оставшиеся действительные учетные записи. Удаление имен пользователей или групп из поля «Учетные записи с локальным административным доступом» не удаляет их из группы «Локальный администратор». Однако удаленные имена не добавляются при последующих синхронизациях устройства.

    Важно: Мы рекомендуем не использовать поле «Учетные записи с локальным административным доступом» . Это поле существует только в исторических целях и, скорее всего, не понадобится.

  7. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите кнопку «Наследовать» .

Поиск неисправностей

Если административные настройки применяются не так, как вы предполагали, вы можете просмотреть журналы событий управления устройством на устройстве Windows для получения подробной диагностической информации.

Для просмотра журналов событий управления устройством:

  1. На целевом устройстве откройте « Просмотр событий» . Найти «Просмотр событий» можно, выполнив поиск в меню «Пуск» Windows.
  2. Перейдите в раздел «Журналы приложений и служб». а потом Microsoft а потом Windows а потом Поставщик услуг по управлению устройствами для предприятий и диагностике а потом Администратор .
  3. Просмотрите события, связанные с CSP LocalUsersAndGroups.

Примеры логов:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Обзор: Улучшенная безопасность рабочего стола для Windows.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.